北京2015年10月27日電 /美通社/ -- 上個周末,一場看似嚴(yán)肅的挑戰(zhàn)賽,卻被演繹成了一場鬧劇。10月24日,該劇在被喻為“黑客奧運(yùn)會”的GeekPwn大會上熱鬧上演,而出道不久,目前風(fēng)頭正盛的360奇酷手機(jī)被牽扯其中。同時被GeekPwn陸續(xù)攻破的還有蘋果的iOS 9.1、大疆無人機(jī)、小米4C、華為榮耀4A等智能產(chǎn)品。
在此次由騰訊贊助舉辦的黑客挑戰(zhàn)賽中,部分環(huán)節(jié)以360奇酷手機(jī)中提供的“指紋識別”功能為破解對象,“破解”方法是把一臺奇酷手機(jī)連接電腦,在手機(jī)上打開默認(rèn)關(guān)閉的“信任設(shè)備”功能,然后輸入正確的密碼或指紋解鎖手機(jī),才能繞過手機(jī)的指紋驗(yàn)證。從這個演示來說,奇酷用戶必須把手機(jī)插在黑客電腦上,并且告訴對方解鎖密碼,然后還要修改手機(jī)的默認(rèn)設(shè)置,才能繞過手機(jī)的指紋識別。由于這一做法并不嚴(yán)謹(jǐn),就像主人事先將鑰匙交給小偷,然后讓小偷進(jìn)屋后把鎖拆了,再說鎖不安全一樣充滿詭異。
同時鑒于騰訊和360以前早有恩怨,再過一周,是2010年3Q大戰(zhàn)5周年,因此許多網(wǎng)友認(rèn)為,這應(yīng)該是騰訊“雞蛋里挑骨頭”,意在打壓360手機(jī)。不過,看來360奇酷并不這么認(rèn)為。
在360奇酷手機(jī)官微發(fā)布的《奇酷科技針對 “騰訊黑客大賽尋找360奇酷手機(jī)漏洞”聲明》中,大家驚奇地發(fā)現(xiàn),一改3Q大戰(zhàn)時期360的針鋒相對、拔劍相向的硬性作派,有著濃烈360基因的360奇酷卻并沒有對此次挑戰(zhàn)現(xiàn)表現(xiàn)出任何仇視的成份。相反,對于騰訊能贊助此類活動,給予了充分肯定。在聲明中360奇酷表示:“支持騰訊這樣的互聯(lián)網(wǎng)巨頭重視、資助類似破解活動,即‘提供一個環(huán)境,讓安全研究人員幫助識別潛在的安全漏洞’,這有助于推進(jìn)360奇酷手機(jī)在安全方面的發(fā)展?!倍鴮τ诂F(xiàn)場演示的360奇酷手機(jī)的Root等漏洞,由于主辦方暫未提供具體的漏洞細(xì)節(jié),360奇酷認(rèn)為:“還無法驗(yàn)證其有效性,奇酷手機(jī)將就此與相關(guān)人員積極溝通?!蓖瑫r對發(fā)現(xiàn)并提交漏洞的研究人員表示了感謝,因?yàn)檫@讓360手機(jī)“距較安全的手機(jī)更進(jìn)一步?!?/p>
此聲明由于態(tài)度冷靜、客觀,并在第一時間對所找出的漏洞做出了積極回應(yīng),被業(yè)內(nèi)稱為是最具業(yè)內(nèi)良心的聲明,有網(wǎng)友調(diào)侃稱“大疆、小米、華為等此次被攻破的其他企業(yè),聲明都不需要寫了,就拿360奇酷這份改改就好。”
實(shí)際上,除360奇酷手機(jī)外,此次被選中進(jìn)行安全挑戰(zhàn)并被最終破解的國內(nèi)手機(jī)還包括華為榮耀4A、小米4C。選手通過在兩款手機(jī)上安裝一個普通權(quán)限的app,利用本地提權(quán)漏洞獲取了系統(tǒng)的root權(quán)限,替換了手機(jī)的開機(jī)畫面。值得注意的是,開機(jī)畫面處于安卓系統(tǒng)的system只讀分區(qū)中,只有取得了較高權(quán)限后才有可能替換。
在所有被挑戰(zhàn)的手機(jī)中,360手機(jī)被破解的難度較大,而且是基于事先知道密碼的情況下,同時由于此次被挑戰(zhàn)的并非只有360手機(jī)一款機(jī)型,GeekPwn團(tuán)隊(duì)是在騰訊的授意下特別針對360手機(jī)的說法并不確切。
為了驗(yàn)證手機(jī)的安全性,給用戶一個放心的用機(jī)環(huán)境,實(shí)際上,360手機(jī)此前于10月22日發(fā)起了“72小時安全漏洞挑戰(zhàn)賽”, 鼓勵黑客人員積極參與挑戰(zhàn)賽,同時對發(fā)現(xiàn)并提交有價(jià)值漏洞的個人或組織予以重獎。至今為止,360已幫助微軟、谷歌、蘋果等國際巨頭修復(fù)了上百個高危漏洞,從2013年開始,360開始在國內(nèi)率先為漏洞報(bào)告者提供現(xiàn)金獎勵,目前已發(fā)出數(shù)百萬元獎金,有力地保證了360用戶的安全。
對于此次挑戰(zhàn)結(jié)果,360董事長周鴻祎表示:這個世界沒有絕對安全的手機(jī),但一定有較安全的手機(jī)。包括特斯拉、蘋果等知名硬件企業(yè)也曾遭到諸多黑客的破解。他同時表示,360手機(jī)會認(rèn)真對待朋友們找出的所有漏洞,并會在第一時間進(jìn)行修補(bǔ),360手機(jī)無論是現(xiàn)在還是將來,都會是用戶手機(jī)較安全的手機(jī)。
關(guān)于此次GeekPwn大會上為什么會選中出道不久的360奇酷手機(jī)作為挑戰(zhàn)對象,一位不愿透露姓名的“黑客”指出“對于奇酷手機(jī)來說,有大量的黑客和手機(jī)圈同行,甚至還有一些巨頭公司都希望找出它的漏洞,主要原因是奇酷手機(jī)主打安全,產(chǎn)品知名度與影響力高,作為安全界人士也更愿意挑戰(zhàn)這樣的產(chǎn)品。這樣的破解也并非對360手機(jī)就是負(fù)面影響,反而是共筑安全的一個捷徑。”
根據(jù)此次360奇酷聲明和360此前舉辦的“72小時安全漏洞挑戰(zhàn)賽”來看,360奇酷顯然非常歡迎這種挑戰(zhàn),因?yàn)閷λ麄儊碚f,這些黑客和同行事實(shí)上是360奇酷手機(jī)較好的安全測試員,就好像全球黑客都是微軟的安全測試員一樣。